Cela fait plusieurs années que les malwares se déguisent en installateur Flash, et même si le mode d’Adobe n’a plus la cote, cela doit quand même suffire à tromper pas mal de monde. Le dernier exemple évoqué par Malwarebytes n’est pas très original à cet égard, mais il mérite d’être mentionné pour ce qu’il fait pendant son installation. En effet, ce malware ne se contente pas d’installer ses paquets malveillants, il détourne aussi l’une des fonctions de macOS pour rester ancré dans le système et résister aux outils de nettoyage.

Cette variante de Crossrider installe en effet un profil de configuration qui force le navigateur à afficher une page web et empêche l’utilisateur d’en changer. C’est le cas dans Safari et dans Chrome et le paramètre est bloqué dans les réglages des apps respectives. Pour le modifier, la seule solution est d’abord de supprimer le profil, mais encore faut-il pouvoir le trouver.

Pour tromper l’utilisateur, le profil n’est pas clairement identifié dans le panneau des Préférences Système qui rassemble tous les profils (si vous ne le voyez pas sur le premier écran de l’app, c’est que vous n’en avez pas). Pour le retrouver si vous avez plusieurs profils, vous devrez faire défiler les détails et trouver le nom de domaine chumsearch.com. Ce profil devra être supprimé pour se débarrasser totalement du malware.

Malwarebytes explique aussi comment trouver et supprimer le profil en utilisant le terminal, ce qui sera utile pour les administrateurs de parcs de Mac. Naturellement, le meilleur conseil est de ne pas installer Flash n’installer Flash qu’à partir du site officiel d’Adobe, pour éviter ce biais de propagation assez classique pour les logiciels malveillants.